Developpez.com - Rubrique Windows

Le Club des Développeurs et IT Pro

Sécurité : Le ver Conficker continue de se répandre

Le 2009-07-04 19:16:15, par Jean-Philippe Dubé, Membre émérite
Alors que les médias ont détourné leur attention du ver conficker, celui-ci continue à faire des ravages. Le Conficker Working Group affirme que le nombre d'adresses IP contaminées est passé de 3,7 millions en mai à 5,7 millions en juin ce qui veut dire que le nombre d'adresses IP contaminé à augmenté de 1,4 million en 1 mois. Cependant, le Conficker Working Group soutient que le nombre d'ordinateurs contaminé représente entre 25% à 75% le nombre d'adresses IP contaminées. La divergence entre le nombre de PC contaminé et le nombre d'adresses IP contaminé est dû au fait que les ordinateurs sur un même réseau partagent la même adresse IP. Selon les chiffes du Conficker Working Group, on peut conclure qu'il y a un minimum de 1,2 million d'ordinateurs infectés par conficker. Le laboratoire de Trend Micro affirme quant à lui qu'il y aurait 1,9 million d'ordinateurs touchés par conficker. Jusqu'a maintenant, conficker aurait été utilisé surtout pour inciter les utilisateurs infectés à acheter de faux antivirus et à exploiter l'ordinateur pour l'envoie de SPAM.

La rédaction de la rubrique sécurité conseille à tous les utilisateurs des produits Microsoft Windows de télécharger et d'installer le correctif MS08-067 qui corrige la faille utilisée par conficker. L'utilisation d'un antivirus et d'un pare-feu à jour est aussi recommandé.

Qu'en pensez-vous?
  Discussion forum
19 commentaires
  • kmaniche
    Membre chevronné
    Que propose Microsoft pour y remédier, sans doute Windows 7 avec l'activation du kill switch

    Comment peut-on sûr si le système est infecté par ce Confiker ?
    le 04/07/2009 à 22:47
  • Firwen
    Membre expérimenté
    Je ne venere pas les créateurs de virus, loin de là..mais j'avoue que celui/ceux qui ont codé cette saleté ont fait fort .

    La bete desactivent les anti-virus, bloque les mise à jour de sécurité, bloque l'accés aux sites permettant de l'enlever, s'auto-update en mutant, peut servir de cracker brut force ou encore au transfert p2p....le tout en quelques kilo-octets seulement.....
    le 05/07/2009 à 15:20
  • kabkab
    Membre éprouvé
    Bonjour,

    Autrement, je me suis chopé ce virus. Je peux dire qu'il est colosse, il se répand sur tous le réseau à travers les partages mappés. Récupères du net un autre virus et l'installe qui lui bloque les anti-virus. Il ajoute des tâches dans le planificateurs de tâches. Le tout ralentit jusqu'à bloquer le réseau.
    Une constatation personnelle aussi dont je n'ai pas trouvé trace sur le net, s'il trouve un OS windows serveur, il change je ne sais quoi qui fait que les dossiers partagés sont limités en nombre d'utilisateurs. Le dépassement en nombre de connexion à ces dossiers aboutit à un plantage du partage. Seule parade, si j'ose dire, formatage. Je n'ai rien trouvé sur le net qui en parle et, donc, donne une solution. J'en parles ici d'ailleurs.
    Mon post
    le 05/07/2009 à 15:57
  • Jean-Philippe Dubé
    Membre émérite
    Envoyé par kmaniche


    Comment peut-on sûr si le système est infecté par ce Confiker ?
    Les symptômes de ce virus sont un très bon indice.
    le 05/07/2009 à 16:34
  • FillPCA
    Membre régulier
    Salut,

    Conficker est une saleté pas très facile à virer. Elle cherche aussi les machines vulnérables du réseau à la recherche de mots de passe faible, et se met à jour quotidiennement à travers un certain nombre de sites Web qui changent très souvent.

    FillPCA
    le 05/07/2009 à 18:22
  • superpatoch
    Candidat au Club
    Envoyé par kabkab

    Autrement, je me suis chopé ce virus. Je peux dire qu'il est colosse, il se répand sur tous le réseau à travers les partages mappés. Récupères du net un autre virus et l'installe qui lui bloque les anti-virus. Il ajoute des tâches dans le planificateurs de tâches. Le tout ralentit jusqu'à bloquer le réseau.
    Une constatation personnelle aussi dont je n'ai pas trouvé trace sur le net, s'il trouve un OS windows serveur, il change je ne sais quoi qui fait que les dossiers partagés sont limités en nombre d'utilisateurs. Le dépassement en nombre de connexion à ces dossiers aboutit à un plantage du partage. Seule parade, si j'ose dire, formatage. Je n'ai rien trouvé sur le net qui en parle et, donc, donne une solution. J'en parles ici d'ailleurs.
    Mon post
    Salut, j'ai eu les mêmes symptômes avec 2 clients, les partages au bout de quelques heures tombent. Et à chaque fois le virus était présent. j'ai fait tous ce qu'il fallait faire pour virer le ver, mais le probléme reste, et je ne vois que le reformatage pour revenir à la situation normal, car je n'ai strictment rien trouvé sur Internet pour réparer. Les OS en questions sont des XP Pro.
    le 05/07/2009 à 18:51
  • FillPCA
    Membre régulier
    Salut,

    Pour savoir si le pc est toujours infecté, il faut regarder si l'accès aux éditeurs antivirus principaux est possible.

    L'infection rajoute aussi des données dans la valeur de registre
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
    "netsvcs"
    Fill
    le 05/07/2009 à 19:02
  • Telemak
    Membre actif
    Salut,
    vous conseillez quel anti virus...pour ce virus...
    Moi je n'en ait pas installé pour l'instant sur mon vista...

    ?
    le 05/07/2009 à 19:58
  • FillPCA
    Membre régulier
    Salut,

    La plupart des grands éditeurs détectent correctement l'infection, la meilleure prévention restant la mise à jour de windows, en particulier la MS08-067
    Maintenant, si une machine (ou un parc) est infectée, l'antivirus ne suffit pas pour rétablir les modifications apportées par le malware, qui est une machine de guerre utilisant pas mal de fonctionnalités avancées.

    Fill
    le 05/07/2009 à 20:53
  • pi-2r
    Rédacteur
    Bonsoir,

    pour ma part je trouve que ce vers est extrême bien pensé...

    Tout d'abord il exploite la faille MS08-067 de chez Microsoft pour infecter les autres machines d'un réseau.

    Il commence part créer un réseau local pour infecter les autres ordinateurs d'un parc en envoyant des requête RPC malicieuse, qui exploite un débordement de tampon et dés qu'il marche sur une machine, le code malicieux s'exécute (shellcode) pour enfin télécharger dans son intégralité le vers. Il va par la suite utiliser les droits admin (les Credentials) pour pouvoir se répandre.....
    Il utilise aussi divers méthode pour connaitre la liste des utilisateurs d'un ordi ainsi que leur mot de passe tout en identifiants leurs droits (malin l'animal )

    Une fois logé, le vers va se diffuser par les ports USB (avec un dossier nommé "RECYCLER". Il va aussi créer une clé de registre afin de s'exécuter à chaque démarrage tout en supprimant les service de sécurité et les résolutions DNS contenant des mots affilié à des éditeurs d'antivirus. En gros il interdit toute mise à jours des antivirus.
    D'autre part, Conficker ouvre des ports afin de ce diffuser et supprime tout les points de restaurations du système infecter et comble du comble, il est capable de de "patcher" la machine infecter afin que d'autre vers ne viennent empiéter sur "sa machine"

    comment éviter d'être infecter ?
    -appliquer les correctifs comme l'a indiqué Jean-Philippe
    -Mettre à jours l'antivirus
    -Scanner la machine avec un live CD
    -Interdire les lancements automatiques

    note: il semblerait que le créateur du vers soit d'origine Ukrainienne... Si vous avez des infos qui conduit à l'arrestation de l'auteur de Conficker, Microsoft offre une prime de 250 000 $
    le 05/07/2009 à 21:13
  Poster une réponse